3 research outputs found
Identificação biométrica e comportamental de utilizadores em cenários de intrusão
Dissertação de mestrado em Engenharia InformáticaA usurpação de contas e o roubo de identidade são problemas muito frequentes nos atuais
sistemas informáticos. A facilidade de acesso à internet e a exposição das pessoas a este meio,
torna muito frequente a utilização indevida e a usurpação de contas (tais como: e-mail, redes
sociais, contas bancárias) por outras pessoas que não as suas legÃtimas proprietárias.
Atualmente o método de autenticação dominante é o da combinação nome de utilizador e
palavra-chave. No entanto, este método pode não ser fiável, pois estas credenciais podem ser
partilhadas, roubadas ou até esquecidas. Por outro lado podem-se combinar várias técnicas para
reforçar a segurança dos sistemas. Cartões de acesso (tokens), certificados digitais e biometrias são
algumas delas. Os cartões de acesso, por exemplo os das caixas multibanco, podem ser roubados
ou duplicados, como é frequentemente noticiado em fraudes bancárias. Os certificados seguem o
mesmo caminho dos tokens uma vez que estes podem ser distribuÃdos por correio eletrónico ou em
dispositivos USB. As biometrias fÃsicas (impressão digital, Ãris, retina ou geometria da mão por
exemplo), para além de serem um pouco intrusivas, requerem a aquisição de equipamento caro.
Uma possÃvel solução para os problemas inumerados são as biometrias comportamentais.
A forma como nos comportamos e agimos num computador pode ser usada como
informação biométrica. Esta informação pode ser utilizada à posteriori, geralmente complementada
com mais dados, para identificar, inequivocamente, (ou pelo menos com um determinado grau de
confiança) um indivÃduo. A informação recolhida pode variar desde o tipo de escrita no teclado,
habilidade com o rato, hábitos, cliques, número de páginas abertas, origem do acesso, etc., que
depois será sujeita à utilização de algoritmos comportamentais para autenticar, de forma
inequÃvoca, um utilizador.
Neste trabalho pretende-se implementar como reforço aos atuais sistemas de autenticação
e de deteção de intrusões, a verificação de perfis comportamentais do proprietário da conta. Este
sistema não irá apresentar grandes custos, já que só serão usados equipamentos básicos, e será
completamente invisÃvel para o utilizador, ou seja este será continuamente autenticado de forma
silenciosa e não intrusiva.Session hijacking and identity theft are a problem increasingly common in computer
systems nowadays. With the growing usage of online services, people become more exposed to
different techniques, technological or social, that can be used to easy to their personal accounts,
from services such as Emails, Facebook, bank accounts, among others.
Currently, the dominant method of authentication is the combination of username and
password. This method can be unreliable, because these credentials can be shared, forgotten or
stolen. To offer better authentication mechanisms, other techniques are used; among then are the
tokens or digital certificates and biometrics. None of them completely solve the problem once they
can be duplicated or stolen. Moreover the physiological biometrics (fingerprint, iris, retina, hand
geometry, etc.) are intrusive, require the purchase of expensive equipment and may not work in all
the scenarios.
The way we behave and act in a computer can be used as biometric information. This
information supplemented with more data (i.e. contextual data) can be used to identify unequivocally
(or at least with a certain degree of confidence) an individual. The information collected may vary
from the way of typing on a keyboard (keystroke dynamics), skill with the mouse (mouse dynamics),
habits, clicks, number of pages open, source access, etc., which will then be subject to the use of
behavioral algorithms to identify and authenticate, unequivocally, the user.
In this work we present the implementation of a system that strengthens existing
authentication and intrusion detection systems, helping them by checking behavioral profiles of the
account owner. This system will not be costly, since it only uses basic hardware. Additionally, it will
be completely invisible to the user, i.e., it will be working in an unobtrusive way, collecting data in
background mode. The aim of this paper is to present a system capable of recognizing biometric
patterns and, through behavioral algorithms and complex event processing, create user profiles that
are used as identification and continuously authentication to services
Using an Active Shape Structural Model for Biometric Sketch Recognition
A deformable shape model called Active Shape Structural Model (ASSM) is used within a biometric framework to define a biometric sketch recognition algorithm. Experimental results show that mainly structural relations rather than statistical features can be used to recognize sketches of di#erent users with high accuracy
Exploiting autobiographical memory for fallback authentication on smartphones
Smartphones have advanced from simple communication devices to multipurpose devices that capture almost every single moment in our daily lives and thus contain sensitive data like photos or contact information. In order to protect this data, users can choose from a variety of authentication schemes. However, what happens if one of these schemes fails, for example, when users are not able to provide the correct password within a limited number of attempts? So far, situations like this have been neglected by the usable security and privacy community that mainly focuses on primary authentication schemes. But fallback authentication is comparably important to enable users to regain access to their devices (and data) in case of lockouts. In theory, any scheme for primary authentication on smartphones could also be used as fallback solution. In practice, fallback authentication happens less frequently and imposes different requirements and challenges on its design.
The aim of this work is to understand and address these challenges. We investigate the oc- currences of fallback authentication on smartphones in real life in order to grasp the charac- teristics that fallback authentication conveys. We also get deeper insights into the difficulties that users have to cope with during lockout situations. In combination with the knowledge from previous research, these insights are valuable to provide a detailed definition of fall- back authentication that has been missing so far. The definition covers usability and security characteristics and depicts the differences to primary authentication.
Furthermore, we explore the potential of autobiographical memory, a part of the human memory that relates to personal experiences of the past, for the design of alternative fall- back schemes to overcome the well-known memorability issues of current solutions. We present the design and evaluation of two static approaches that are based on the memory of locations and special drawings. We also cover three dynamic approaches that relate to re- cent smartphone activities, icon arrangements and installed apps. This series of work allows us to analyze the suitability of different types of memories for fallback authentication. It also helps us to extend the definition of fallback authentication by identifying factors that influence the quality of fallback schemes.
The main contributions of this thesis can be summarized as follows: First, it gives essen- tial insights into the relevance, frequency and problems of fallback authentication on smart- phones in real life. Second, it provides a clear definition of fallback authentication to classify authentication schemes based on usability and security properties. Third, it shows example implementations and evaluations of static and dynamic fallback schemes that are based on different autobiographical memories. Finally, it discusses the advantages and disadvantages of these memories and gives recommendations for their design, evaluation and analysis in the context of fallback authentication.Aus vormals einfachen Kommunikationsgeräten haben sich Smartphones inzwischen zu Multifunktionsgeräten weiterentwickelt, die fast jeden einzelnen Moment in unserem Alltag verfolgen und aufzeichnen. So ist es nicht verwunderlich, dass diese Geräte auch viele sen- sible Daten beinhalten, wie zum Beispiel Fotos oder Kontaktinformationen. Um diese Daten zu schützen, können Smartphone-Nutzer aus einer Vielzahl von Authentifizierungsverfahren auswählen. Doch was passiert, wenn eines dieser Verfahren versagt, zum Beispiel wenn Nutzer nicht in der Lage sind ihr korrektes Passwort innerhalb einer begrenzten Anzahl von Versuchen einzugeben? Derartige Fragen wurden bislang von der Usable Security und Privacy Gemeinschaft vernachlässigt, deren Augenmerk vielmehr auf dem Forschungsfeld der primären Authentifizierung gerichtet war. Jedoch ist das Gebiet der Fallback-Authentifizierung von vergleichbarer Bedeutung, um Nutzern die Möglichkeit zu bieten, wieder Zugang zu ihren Daten und Geräten zu erlangen, wenn sie sich aussperren. Im Prinzip kann jedes primäre Authentifizierungsverfahren auch für die Fallback-Authentifizierung eingesetzt werden. Da letzteres in der Praxis jedoch viel seltener passiert, bringt der Entwurf neuer Verfahren für die Fallback-Authentifizierung neue Anforderungen und Herausforderungen mit sich.
Ziel dieser Arbeit ist es, diese Herausforderungen zu verstehen und herauszuarbeiten. Dazu haben wir untersucht, wie häufig sich Smartphone-Nutzer im Alltag aussperren, um darauf basierend die Hauptanforderungen für den Entwurf von Verfahren zur Fallback-Authentifizierung herzuleiten. Zudem konnten wir durch die Untersuchung ein tieferes Verständnis für die Probleme der Nutzer in solchen Situationen entwickeln. Zusammen mit den Erkenntnissen aus verwandten Arbeiten ermöglichten die Ergebnisse der Untersuchung eine detaillierte Definition für den Begriff der Fallback-Authentifizierung bereitzustellen und unter Berücksichtigung von Faktoren der Nutzerfreundlichkeit und Sicherheit deren Unterschiede zur primären Authentifizierung hervorzuheben.
Zudem haben wir die Möglichkeiten des autobiographischen Gedächtnisses für den Entwurf alternativer Verfahren zu Fallback-Authentifizierung exploriert. Das autobiographische Gedächtnis ist ein Teil des menschlichen Gehirns und besteht aus persönlichen Erinnerungen der Vergangenheit. Durch den persönlichen Bezug erscheinen diese Erinnerungen vielversprechend, um die Probleme bekannter Verfahren zu überwinden. Im Rahmen dieser Arbeit stellen wir deshalb zwei statische und drei dynamische Verfahren zur Fallback-Authentifizierung vor, die sich auf autobiographischen Erinnerungen stützen. Während sich die statischen Verfahren auf ortsbezogene Erinnerungen und das Anfertigen spezieller Zeichnungen konzentrieren, basieren die dynamischen Verfahren auf Erinnerungen der nahen Vergangenheit (z. B. Aktivitäten auf dem Smartphone, Anordnung von Anwendungen oder de- ren Installation). Die vorgestellten Konzepte erlauben nicht nur das Potential verschiedener autobiographischer Erinnerungen zu analysieren, sondern ermöglichen es auch Faktoren zu identifizieren, die einen Einfluss auf die Qualität der vorgestellten Konzepte haben und somit nützlich sind, um die Definition der Fallback-Authentifizierung zu erweitern.
Zusammenfassung
Der wissenschaftliche Beitrag dieser Arbeit lässt sich wie folgt zusammenfassen: (1) Die Arbeit gibt einen wichtigen Einblick in die Relevanz, Häufigkeit und Probleme der Fallback-Authentifizierung im Alltag der Nutzer. (2) Sie stellt eine klare Definition für den Begriff der Fallback-Authentifizierung bereit, um Authentifizierungssysteme anhand verschiedener Eigenschaften wie Nutzerfreundlichkeit und Sicherheit zu klassifizieren. (3) Sie diskutiert die Vor- und Nachteile verschiedener autobiographischer Erinnerungen anhand von Beispielimplementierungen und gibt darauf basierend Empfehlungen zu deren Nutzung und Evaluierung im Kontext der Fallback-Authentifizierung